Золотой МедвеД | ||||||||||||||||||
Вот случилась ситуация. Дело было 3 мес назад. Есть у нас в офисе тройка компов, выделенка, интернет с нормальной скоростью пашет. Однажды начались проблемы. Ближе к обеду: в 12-14 начинает реально падать скорость, на некоторые сайты вообще отказывается заходить. Где-то к 4-5 вечера обрубается совсем. Утром всё в поряде, и опять до обеда. Мы с шефом терпели терпели, голову ломали ломали, не смогли сломать. Мне "знающие" люди говорят:"мля чувак, да чё ты паришь, в это обеденое время юзеров до...., вот скорость и падает (следующий аргумент вообще в учебники занести нужно) америкосы просыпаются и в нет лезут, вот тебя на comовские сайты и не пускает. Короче помощи я не дождался. Провайдеру ясно звонили, но он, будучи существом ленивым, помогать отказался:" У Вас всё работает(это он сидя у себя в конуре попалил, что у меня всё в поряде), ищите проблему в своюм компьютере. Нас это заи... мы всё же этому наглому существу на уши сели конкретно, просили помочь, в случае удачного разрешения проблемы, сулили барыши. Приехал крендель, покапался, подумал, поматерился, сделал вывод: "Вас подсиживают". А мы мать перемать, заи... гадать, куда нах по 100 мегов трафика в день уходит. "Чё делать?" говорим. А он: " сейчас ничего поделать не реально. Мы сейчас устанавливаем у себя спец оборудование, которое поможет вам и вам подобным избежать подобных проблем, но до тех пор терпите, крепитесь, платите. А ща я вам IP адресок и мак адреса поменяю, какое-то время всё будет путём, пока он вас снова не вычислит". "Спасибо!" говорим, "Как ах.... та нам помог! иди на ....!!!" Ну реально 3 месяца проблем не было. Вчера опять началось. Время 13.00 инет начал подглучивать. в 15.00 отказался работать вообще. Я пошёл в магаз, покурили, думал заработает. Прихожу - нет! Звоню провайдеру, объясняю ситуацию, напоминаю ему эпизод трёхмесячной давности. А барышня мне:"Вы за последние 40 мин. в NETе сидели?". "Нет" говорю, "курил я". А она:"за сорок минут - сорок мегов накачали!" Потом были звонки, скандалы, слюной весь офис забрызгали:"Найду! Убью! Сцука!" А реально помочь нам наш провайдер не может. А ведь это его обязаность, обеспечить бесперебойный доступ в интернет. А мы не то, что работать не можем (нет нужен как воздух - постоянная переписка), мы ещё и платим за пид.... всяких! НАХ!!! Они конечно пообещали, что в ближайшем будущем, то самое волшебное оборудование запустят в эксплуатацию, но всё равно, этого гадкого крота, оно поймать не поможет, а лишь не допустит вмешательства хакеров. А нам с шефом очень хочется найти это ... и объяснить ему всю ситуацию. Есть специалисты? Как? Самое главное: как раз и на всегда отучить пи.... воровать наши деньги, наше время и нервы?! |
||||||||||||||||||
-=Велла=- | ||||||||||||||||||
Чего-то не совсем понятно, чего именно вы хотите? Ва подсказать с помощью какого программного или аппаратного обеспечения можно контроллировать ваш траффик? Тогда сразу много встречных вопросов... Какой провайдер? Каким образом осущетсвляется доступ в интерент, то есть ADSL, радиоканал, спутник или еще как-то? А то получается, что вы спрашиваете, как пойти морду набить? Или какую гадость заслать ворам, предварительно их вычислив? А вы не задумались, что кто-то просто из вашей конторы сидите в инете и все? Сколько человек пользуется интернетом в конторе? Каким образом раздаете входящий инет по пользователям конторы? Какие ограничения делаете...? А то у вас какая-то претензия в форме "за жизнь поговорить охота, но не с кем"... |
||||||||||||||||||
jalt | ||||||||||||||||||
На выделенке воруют траффик? Как? Малореально... Сменить пароль выхода в сеть, установить прокси/файрвол. Это что нужно делать сразу, если еще не сделано. И, как сказала Велла, необходимо более подробное описание структуры сети для более детального предложения по решению данной проблемы. | ||||||||||||||||||
NSD | ||||||||||||||||||
Чет какая-то сказка, я вам скажу... МАК адрес он сменил... ну ладно, допустим: У прова стоит DHTP-сервер, который связан с вашей конторе с одиним компом в вашей сети или апаратным роутером - верно? Значит, изходя из логики, кабель от прова до конторы идет один. Ладно, допустим так, тогда обидчик ваш сидит где-то рядом. Если так, то такую проблему можно легко отследить, если поставить тот самый апартный фаервол/роутер, который Вам без проблем сообщит, в какую сторону уходят концы - тут все просто... Дальше, допускает другой вариант: Кабель от прова идет на управляемый хаб, через который подключено все здание. Значит от хаба к вам идет ОДИН шнур к Вам - тут врубиться никак не получиться, следовательно - кто-то имеет доступ к самому хабу прова. Это может быть даже сам системщик, который сидит в конторе :) - Или же, любой другой человек, который находиться в ВАШЕМ здании, взломавший пароль этого хаба и имеет соответсвенно к нему доступ. Через некоторое время уме ествественно удается отследить ВАШ Мак и Айпи адрес и перебить его на себя. Что самое интересное - Поймать этого засранца по любому можно. Первое: Он точно в Вашем Здании. Второе: Сидит в конторе у Прова. На счет Вашего здания: Обходите все конторы и запишите их Ай-Пи адреса - это касается всего здания и всех организаций, который сидят через ВАШ хаб, от которого идет кабель в Вашу котору. После этого, звоните прову и выясняйте - какие Айпи сидят в данный момент. Если все сошлось, то ОК - дальше останеться только найти лишний кабель, который и идет к компу обидчика. .......Самый последний вариант - Это Ваш Сотрудник. ЗЫ. ADSL - интернет к этому не относиться. Если да, проверье телефонный шнур :) ну и сотрудников, которые включены в Вашу сеть. |
||||||||||||||||||
Klimon | ||||||||||||||||||
Есть еще одна заковырка: Если у тебя есть WiFi-модули и именно к ним может подключиться злоумышленник. Также кто нибудь из ваших сотрудников может сообщить некоторые данные для доступа через такое соединение: домен, сеть адресов, возможные пароли и т.п. Попробуй проследить какие компы "сидят" в сетке. Если есть такие, которые ты не знаешь или они появляются в то время, когда начинается вся описанная тобой канитель - проконтролируй их. Ну и мои коллеги уже сказали тебе о фаерволлах ... ![]() |
||||||||||||||||||
softself | ||||||||||||||||||
Человек хочет найти ответ на 2 вопроса: как и кто.
в том то и дело, что его трафик разнится с трафиком провайдера. никакое программное обеспечение со стороны клиента не поможет.
вы знаете полный список провайдеров которые не умеют сопоставлять mac и ip адреса?
в любом из перечисленных Вами способов подключения такая ситуация возможна.
возместить ущерб. а почему бы и не поговорить с гаденышем? мне, например, приятно когда мне кто-то должен:))
у меня в конторе 50 человек и все сидят в инете. нагрузка, не спорю, за сутки перераспределяется, но не на столько как с его "тройкой" компьютеров.
по локальной сети. или есть другие варианты?
хоть делай хоть не делай - порноресурсы в трафике доминируют и будут доминировать. (70% - моя статистика кстати сходится с общественной)
а то у вас желание - ответить надо, но некому... Велла, это не наезд, а простое желание, чтобы люди не гнули пальцы, а подходили к проблемам других с пониманием. Золотой МедвеД тебе остается ждать когда твой провайдер установит у себя новое оборудование. способы найти урода конечно есть (технически со стороны провайдера), но думаю лучше ими не пользоваться. здоровее будешь. или меняй провайдера. в моей практике были аналогичные ситуации и провайдер всё это решил. а претензию прову ты вставить вправе только основываясь на твой договор с ним. но это уже другая история. |
||||||||||||||||||
ForesterAD | ||||||||||||||||||
а я не умею по русски писать. удачи Это сообщение отредактировал ForesterAD - 21-04-2006 - 12:42 |
||||||||||||||||||
Klimon | ||||||||||||||||||
Уважаемый! Попрошу Вас впредь писать обычным языком, без грамматических ошибок! Уважайте себя и тех, кто читает Ваши посты! |
||||||||||||||||||
ForesterAD | ||||||||||||||||||
а больше сказать нечего? да мне пофиг уважаемый. и пишу я как хочу, а вернее как позволяет клавиатура при быстрой печати. а по поводу уважения или нет.. так вы сами не уважаете себя, когда публично делаете замечания на манер взрочлого дядюки. пис |
||||||||||||||||||
ФУРМАНов | ||||||||||||||||||
А ссылочку можно на технические подробности на врезку в ADSL? |
||||||||||||||||||
JeyLo | ||||||||||||||||||
1. Первым делом проверьте, при условии существования :), закрытость прокси для внешних адресов. Первая ошибка неопытных администраторов - это "забывчивость" закрыть прокси. 2. Настройте на маршрутизаторе (Windows или Unix один фиг) роутить только свою подсетку. Лимитируйте размер сети установкой маски и контролируйте через обычную консоль наличие "посторонних" адресов. 3. С провайдером решите проблему методом установки подключения через PPPoE, это решит все проблемы "врезки" и сторонних подключений вне офиса. 3. Если радиоканал, то поможет обращение в милицию и последующее проведение оперативно-розыскных мероприятий, кстати требующих нефигового оборудования. Вылечить это можно только так, так как все существующее шифрование взламывается на ура. Милиция, по собственному опыту, за такие дела берется с воодушевлением, у нас последнее время модно хакеров ловить и сажать. И ущерб возместите. Меня тоже тут хакают постоянно дети всякие. Ловим. :) Одна проблема от таких уродов - резкое возрастание количества левых пакетов. Впрочем моему маршрутизатору это пофиг, но малой сети это может стать надгробным памятником. Все остальные проблемы решаются с помощью визуального контроля витой пары в сети. На телефонные сопли повесить трафик можно или имея доступ к локальной сети, или у провайдера, или через открытый прокси. На самом деле не заморачивайтесь, тут как никогда милиция вам поможет. И провайдера проверят, благо черные ящики у всех стоят, и вам помогут. |
||||||||||||||||||
GrAnd | ||||||||||||||||||
Прежде всего обращает на себя внимание тот факт, что после смены пароля траблы на какое-то время притухли. Значит, злоумышленник находится не в вашей конторе. Если бы он находился в ней, то ему все эти замены были-бы безразличны. Кроме того, раз трафик, засеченный провом и конторой разнятся, то однозначно это кто-то посторонний. Схема применяемая провами для биллинга обычно основана на параметрах аутентификации и не привязывается к конкретным IP. Таким образом, если пароль украден, то под вашим именем могут войти и из соседнего подъезда и из другого квартала с равным успехом. Вопрос только в том, каким образо крадется пароль. Тут возможны варианты: 1. Перебором. 2. Злоумышленник имеет доступ к БД прова. Например работает у него. 3. Злоумышленник каким-то образом получил доступ к паролю на прокси-сервере и украл его. В первых двух случаях однозначно поможет "Управление Р" ФСБ. В третьем случае надо разобраться со своими проблемами. Либо вам подсадили червячка, который ломает пароли и передает их на внешние адреса (был у меня такой случай - на 5 Гигов попали). Либо кто-то крысятничает из своих. Поэтому нужно тщательно запереть все неиспользуемые порты по TCP и UDP на внешнем интерфейсе. Особенно это касается TCP-139 (NetBIOS) - любимая лазейка хакеров. Ну и провести некоторую работу среди своих. Только следует учесть, что сам этот человек может во время использования чужаком вашего логина спокойно сидеть в конторе, а юзать доступ будет совсем другой человек, которому пароль он подарил или продал. |
||||||||||||||||||
JeyLo | ||||||||||||||||||
Есть такая фраза, что "реально помочь нам наш провайдер не может" и "ссылочку можно на технические подробности на врезку в ADSL". Сильно сомневаюсь, что ради халявной сотни вечнозеленых люди используют для врезки комплекс оборудования с мультиплексором и прочей белибердой. Так что исключаю возможность врезки в линию как фантастическую. Покупать оборудование за кубометры вечнозеленых, чтобы тырить трафик на сотню??? Гыгы. Как вариант, можно купить себе ADSL модем, благо копейки стоит, и врезаться в телефонную линию для идентификации по номеру телефона, или же там персонал провайдера сплошные лохи, что не могут клиентскую точку определить. Вообще технология ADSL подразумевает, что на АТС ТОЧНО знают, кто на второй стороне. Имхо врезка. Или провайдер - чудак на букву м. Или как я описал выше.
При чем тут ФСБ? Это зона ответственности милиции. |
||||||||||||||||||
erm1k | ||||||||||||||||||
1) если VPN и есть жесткая привзяка по мак адрессу и ипу, то кроме вас ни кто не смоежт пользвоаться инетом, даже если узнает логин и пароль. А если все же сменили на ваш ип и мак то тогда это делает кто-то из вашего сигмента, т.к. из есть привязка к ип адрессу, если он себе поменяет мак адресс, а находится будет в другом сигменте то следовательно он не сможет получить ваш ип адресс, даже если пропишет его руками. У него просто не будет работать сеть, VLAN не даст ему использовать ип не из своего сигмента и закроет ему выход. 2) если PPPoE и у инет провайдера тупое оборудование, а у взломщика стоит умный роутер, то он спокойно сможет заглушить сигнал вашего компа. И конфликта мак и ип адресса не вылезет. 3) у админа кривые руки, какое соединение не было бы можно легко посмотреть по сессиям, при помощи той же самой путти, если они (админы), не умеют пользоваться линуксом. 4) меняйте провайдера. 5) оператор колл центра это не админ =) и ненадо их так сильно завышать. и мантажников тоже админами называть не стоит. ))) Это сообщение отредактировал erm1k - 26-04-2006 - 16:31 |
||||||||||||||||||
erm1k | ||||||||||||||||||
Я бы очень сильно хотел бы посмотреть как при жесткой привязке Логина к ип адрессу и с привязкой по маку, кто-либо смог бы войти, хотя бы, из другого сигмента. |
||||||||||||||||||
ФУРМАНов | ||||||||||||||||||
А может все проще? Проверь галочку «Общий доступ к подключению интернета». ![]() |
||||||||||||||||||
GrAnd | ||||||||||||||||||
А кто сказал, что обязана существовать привязка логина к IP и к MAC? Это две очень большие разницы и делаются они совершенно разными серверами, которые могут и не знать друг о друге. Рассмотрим следующие возможные случаи распределения IP:
Так вот ... Из этой второй сети приполз червячок (не закрыл я TCP#139 - понадеялся на авось) и перезаражал все компы под Win2K/XP в сетке. Кроме расползания, он взламывал пароли доступа к VPN и куда-то их передавал. Причем, в черте города - в сфере деятельности сетей второго прова. Я его и обнаружил в основном потому, что канал на первого прова сел. Он же не разбирался, через какой шлюз слать данные и слал через первичный. Забил канал так, что пробиться было невозможно. Червячка я задавил, порты прикрыл, но через месяц заметил что в счете по второму прову фигурирует несколько высокая сумма. Сначала я не придал этому значения, но в следующие 2 месяца сумма за внешний трафик еще выросла многократно, хотя внешним Инетом с этого шлюза как раз и не пользовались уже. Сообщили прову, он определил, что логином и паролем пользуются с другого IP. Но так как сам оперативных мероприятий выполнять не может, то обратился в ФСБ. Но немного поздно. Этот гад просек фишку и затаился. Так что уже полгода ждут, как бы поймать его на горячем. А иначе что-либо доказать проблематично. Как мне объяснили ребята второго прова, аутентификация доступа к VPN у них производится только по логину/паролю и привязать ее к IP возможности нет. Тем более к MAC, т.к. прокся находится вообще в другом сегменте. Пришлось просить их вообще заблокировать для этого логина доступ к внешнему Инету. |
||||||||||||||||||
Чеширский кот | ||||||||||||||||||
Сначала хотел написать умную терраду про VPN и PPoE, но подддержу умную мысль сказанную выше: Меняй провайдера и своего админа. |
||||||||||||||||||
Золотой МедвеД | ||||||||||||||||||
Это точно не свои, ибо в нашей конторе кроме меня и шефа нет никого (в офисе). Всем огромное спасибо за советы. Скорее всего сменим провайдера, если данная ситуация повтиорится снова, пока затишье, уже недели 3 наверно. | ||||||||||||||||||
Klimon | ||||||||||||||||||
За нарушение правил форума и пререкания с модератором обявляю вам предупреждение |
||||||||||||||||||
QW123 | ||||||||||||||||||
Уважаемый, не могли бы подробнее описать проблему (софт, оборудование etc). А то советов накидали... общих. Мне самому интересно стало, как в таких объемах траф можно тырить |
||||||||||||||||||
Золотой МедвеД | ||||||||||||||||||
я не специалист. что конкретно интересует. какое оборудование? Вы скажите, я выясню. |
||||||||||||||||||
QW123 | ||||||||||||||||||
Ну, грубо говоря, каким макаром в тырнет вылезаете? Тройка компов подключена к выделенному серверу? Сервер через какую железяку в сеть лезет? Какая операционка на сервере стоит (линухи, фря, а может виндузы)? В таком роде. А то тут рассуждаем, а потом окажется модемный пул на старой четверке с 98 окошками (смайл) |
||||||||||||||||||
Золотой МедвеД | ||||||||||||||||||
1. 3 компа - выделенка 2. Celeron 2.4 3. XP 4. "Procenter" провайдер |
||||||||||||||||||
QW123 | ||||||||||||||||||
То есть есть комп с установленной WindowsXP (надеюсь, про), подключенный к выделенной линии. Этот комп выполняет роль сервера. К нему подключены три рабочих станции. Еще нужно уточнить: 1. Кабель от провайдера воткнут прямо в сервер или в какой-то девайс, а уже от него в сервер? 2. В сервере две сетевых карты или одна? Если одна, то какой хаб/свич и т.д. используется? |
||||||||||||||||||
erm1k | ||||||||||||||||||
Эм... а сколько получает админ у вас ? А то может и я сгожуся ^^ Сорр за офф топ =) А самый оптимальный вариант - посадит за комп нормального человека, на сутки и пусть по следит за потоком трафика. А сходу сказать ни чего не возможно, т.к. тут понадовали советов, а действительность может оказаться совсем в другом - Вечером домой пришел человек, врубил кмоп, а он у него начинает флудить, и соответственно, в лудшем случае падает скорость .... Это сообщение отредактировал erm1k - 05-06-2006 - 19:33 |
||||||||||||||||||
QW123 | ||||||||||||||||||
Кстати, да. Насколько я понял, админ в данном случае отсутствует как класс. И здесь в первую очередь я бы вызвал хоть студента какого с мозгами, проверить и настроить тот комп под ХР, что роль сервера выполняет. А то возможны самые интересные варианты. Ну, например, прокси-сервер из него чья-то добрая душа организовала :) И лучше будет, если тот студент на "сервере" вместо ХР линукс или фрюБСД развернет. Заодно и исключит вариант "своего" (внутри контоы) траффожора. И по мозгам прову настучать тоже не мешает, ибо вполне возможно, его проблемы. В общем, ждем уточнений |
||||||||||||||||||
Dzz | ||||||||||||||||||
Конечно что новое добавить сложно, просто сталкивался с таким , когда появились схожие проблемы, я конечно несколько раз звонил и тд... а, потом просто просто пошел в гости к провайдеру (Т.Е. в основном к админу и погворил с ним Так Скажем в высоких тонах и оПлЯ больше проблем не было ) | ||||||||||||||||||
Deonis | ||||||||||||||||||
![]() Добаветь могу только одно ставте файрвал на уровне железа... |
||||||||||||||||||
-=Велла=- | ||||||||||||||||||
Deonis, срезай цитаты. Похоже, что у автора уже либо все выпили и съели, либо все нормально. Так что закрываю. |